En Belgique, la protection des services essentiels est au programme. Dès lors, les fournisseurs de services dans les finances ou encore dans l’énergie et dans l’informatique seront tenus de prendre les mesures nécessaires. Par ailleurs, il faudra être perspicace et remonter les incidents à l’instar des cyber-attaques.
La loi NIS
Cette idée est une émanation de la directive européenne NIS ou Network and Information Systems. Il s’agit de l’une des lois sur la cyberdéfense qui ont été approuvées par la Chambre. Sa mise en application devrait d’ailleurs être effective dès sa publication au Moniteur. De prime abord, la loi NIS demande à ce que les services essentiels de la Belgique soient identifiés. Il en est de même pour leurs fournisseurs. Par la suite, il faudra que les fournisseurs en question soient contactés par les autorités pendant le 1er semestre faisant suite à l’entrée en vigueur. Ils seront alors tenus au courant des obligations qui sont requises.
L’application de la loi
Six secteurs sont mis en exergue dans ce contexte. Ce sont notamment le transport, l’énergie, les soins de santé, la finance, les infrastructures numériques et l’eau. Les questions relatives au Cloud computing et sa sécurité seront également soumises à cette loi.
Par ailleurs, le texte relatif à la cyberdéfense fera aussi en sorte de s’appliquer aux fournisseurs de moteurs de recherche et à ceux de magasins en ligne. Ces derniers ne seront pas identifiés, mais ils sont soumis à la loi étant donné qu’il n’y a pas encore de réglementation qui les régit. C’est pourquoi la NIS les reprend.
Ainsi que le veut la loi, un fournisseur de services essentiel doit se conformer à différentes mesures sécuritaires. Ils devront également parler des incidents aux autorités. En cas de cyber-attaques, ils auront l’obligation de tout remonter aux responsables. Quoi qu’il en soit, il n’est pas évident de voir l’étendue de ces mesures de sécurité.
Contrôle et sanction
D’après les dires du CCB ou Cyber-sécurité Belgique, un contrôle régulier se fera par rapport aux entreprises qui sont connues comme étant des fournisseurs de services essentiels. Toutefois, il n’y aura pas vraiment d’obligations par rapport à la cybersécurité. Comme cet univers évolue de manière continue, il n’est pas facile de mettre en place des mesures spécifiques.
Toujours concernant les entreprises qui sont régies par la loi NIS, elles peuvent être sanctionnées sur le plan administratif et juridique. Dès lors, des amendes financières peuvent leur tomber dessus. Elles peuvent aussi se retrouver au tribunal.
Selon le CCB, il n’y a pas que les sanctions qui comptent. Elles doivent être vues comme étant des mesures préventives. De prime abord, la loi veut mettre en place une collaboration entre les autorités et les fournisseurs. L’objectif est alors d’octroyer une meilleure cybersécurité.
Les objectifs du NIS
La directive NIS a pour but de présenter des mesures qui sont utilisées pour assurer un niveau de sécurité aux réseaux et aux systèmes d’information. En fait, cela s’applique à tous les pays de l’Union européenne. Au sein de la société, les systèmes d’informations, les services et les réseaux jouent un rôle prépondérant. Aussi, il est impératif qu’ils soient sécurisés et fiables en même temps. Cela impacte sur les fonctions sociétales et économiques. Le marché intérieur dépend également de ces quelques services. Le texte NIS demande à ce que de nombreuses entreprises privées et des opérateurs de services essentiels respectent les exigences en termes de sécurité.
Il est à noter, par ailleurs, que ce texte européen se base sur 4 axes majeurs. Déjà, il y a les cadres nationaux portant sur la sécurité des systèmes d’information et des réseaux. Ensuite, il y a la coopération. Vient, par la suite, la sécurité des systèmes d’information des opérateurs de services essentiels et des réseaux. Enfin, il y a la sécurisation au niveau des systèmes d’information des fournisseurs de service numérique et des réseaux.